• گیلان، رشت
  • شنبه تا پنجشنبه: 8:00 صبح تا 21:00 عصر
  • info@RootNet.ir
ما را دنبال کنید:
Linkedin-in Instagram
021-74391690

گزارش آسیب‌پذیری وردپرس

گزارش آسیب‌پذیری وردپرس
36 بازدید

گزارش امنیتی وردپرس – هفته دوم اکتبر ۲۰۲۵ (۶ تا ۱۲ اکتبر): ۵۵ آسیب‌پذیری جدید در افزونه‌ها و قالب‌ها

 مقدمه

در بازه زمانی ۶ تا ۱۲ اکتبر ۲۰۲۵، تیم امنیتی Wordfence Intelligence گزارش هفتگی جدیدی از وضعیت امنیت وردپرس منتشر کرده است.
بر اساس این گزارش، طی این هفته ۵۵ آسیب‌پذیری جدید در ۴۸ افزونه و ۳ قالب وردپرس شناسایی و در پایگاه داده‌ی آسیب‌پذیری‌های Wordfence ثبت شده است.

از میان این آسیب‌پذیری‌ها، ۴۲ مورد وصله شده (Patched) و ۱۳ مورد همچنان وصله‌نشده (Unpatched) هستند که می‌توانند خطرات جدی برای وب‌سایت‌های وردپرسی ایجاد کنند.

در این گزارش، علاوه بر معرفی افزونه‌ها و قالب‌های آسیب‌پذیر، به بررسی میزان خطر، نوع آسیب‌پذیری‌ها، و پیشنهادهای امنیتی برای مدیران سایت‌ها نیز پرداخته‌ایم.

 وضعیت کلی آسیب‌پذیری‌ها

وضعیت وصله امنیتی تعداد
وصله شده (Patched) ۴۲
وصله نشده (Unpatched) ۱۳

 توزیع شدت آسیب‌پذیری‌ها بر اساس CVSS

  • بحرانی (Critical): ۸ مورد

  • شدید (High): ۷ مورد

  • متوسط (Medium): ۳۹ مورد

  • کم (Low): ۱ مورد

بخش عمده‌ای از این تهدیدها از نوع SQL Injection، XSS (Cross-Site Scripting) و File Inclusion هستند که به مهاجمان امکان تزریق کد مخرب، دور زدن احراز هویت و حتی دسترسی به فایل‌های سیستمی را می‌دهند.

 مهم‌ترین آسیب‌پذیری‌های وصله‌نشده (Unpatched)

در ادامه، فهرست کامل آسیب‌پذیری‌هایی که تاکنون وصله‌ی امنیتی برای آن‌ها منتشر نشده است آورده شده است. این موارد نیازمند توجه فوری مدیران سایت‌ها هستند:

افزونه / قالب نوع آسیب‌پذیری شدت خطر توضیح
WooCommerce Designer Pro <= 1.9.26 حذف فایل بدون احراز هویت Critical (9.8) مهاجم می‌تواند فایل‌های حیاتی را بدون دسترسی مدیریتی حذف کند.
WP Scraper <= 5.8.1 SSRF (درخواست سمت سرور) Medium (6.8) امکان ارسال درخواست از سرور سایت قربانی به آدرس‌های دلخواه مهاجم.
Easy Plugin Stats <= 2.0.1 XSS ذخیره‌شده Medium (6.4) اسکریپت‌های مخرب می‌توانند در صفحات مدیریت اجرا شوند.
WP Links Page <= 4.9.6 SQL Injection Medium (6.5) مهاجم می‌تواند پایگاه‌داده را دستکاری کند.
WordPress Live Webcam Widget & Shortcode <= 1.2 XSS ذخیره‌شده Medium (6.4) کد جاوااسکریپت در مرورگر کاربران اجرا می‌شود.
WP Easy Toggles <= 1.9.0 XSS ذخیره‌شده Medium (6.4) خطر اجرای کد در سمت کاربر.
APPExperts <= 1.4.5 افشای اطلاعات حساس Medium (5.3) اطلاعات پیکربندی یا API ممکن است در معرض دید قرار گیرد.
Code Quality Control Tool <= 0.1 افشای اطلاعات از لاگ‌ها Medium (5.3) دسترسی به فایل‌های لاگ و مسیرهای سیستم.
Custom 404 Pro <= 3.12.0 SQL Injection در پارامتر path Medium (4.9) تزریق کوئری‌های خطرناک به دیتابیس.
Course Redirects for LearnDash <= 0.4 CSRF (درخواست جعلی بین سایتی) Medium (4.3) اجرای درخواست‌های ناخواسته از سمت کاربران.
Page Blocks <= 1.1.0 CSRF Medium (4.3) امکان انجام تغییرات مدیریتی بدون تأیید کاربر.
WidgetPack Comment System <= 1.6.1 CSRF Medium (4.3) امکان ارسال فرم‌های خطرناک به‌صورت خودکار.
WP Gmail SMTP <= 1.0.7 افشای اطلاعات حساس Medium (5.3) خطر نشت اطلاعات ورود به سرویس ایمیل.

 افزونه‌ها و قالب‌های وصله‌شده (Patched)

در کنار موارد فوق، ۴۲ آسیب‌پذیری دیگر شناسایی و توسط توسعه‌دهندگان وصله امنیتی (Patch) دریافت کرده‌اند.
برخی از مهم‌ترین آن‌ها عبارت‌اند از:

  • Community Events <= 1.5.1 – آسیب‌پذیری SQL Injection بحرانی

  • Ovatheme Events Manager <= 1.8.5 – آپلود فایل مخرب بدون احراز هویت

  • Search & Go Theme <= 2.7 – افزایش سطح دسترسی کاربران غیرمجاز

  • WP Freeio <= 1.2.21 – ارتقای سطح دسترسی

  • WP Travel Engine <= 6.6.7 – آسیب‌پذیری LFI

  • GSheetConnector for Gravity Forms <= 1.3.27 – نصب افزونه بدون مجوز

  • Lisfinity Core <= 1.4.0 – افزایش سطح دسترسی کاربران سطح پایین

  • Cookie Notice & Consent <= 1.6.5 – XSS ذخیره‌شده بدون احراز هویت

مدیران سایت‌هایی که از این افزونه‌ها استفاده می‌کنند باید فوراً آن‌ها را به آخرین نسخه به‌روزرسانی کنند تا از خطرات احتمالی جلوگیری شود.

 توصیه‌های امنیتی برای مدیران وردپرس

  1. به‌روزرسانی مداوم افزونه‌ها و قالب‌ها
    اطمینان حاصل کنید که تمام افزونه‌ها و قالب‌ها به‌روز هستند. آسیب‌پذیری‌های وصله‌نشده می‌توانند در عرض چند ساعت مورد سوءاستفاده قرار گیرند.

  2. استفاده از فایروال و اسکنر امنیتی
    افزونه‌هایی مانند Wordfence Premium یا iThemes Security می‌توانند در مقابل تهدیدات شناخته‌شده محافظت ایجاد کنند.

  3. بررسی گزارش‌های هفتگی آسیب‌پذیری‌ها
    پیگیری گزارش‌های هفتگی از منابع معتبر مانند Wordfence یا RootNet، نقش کلیدی در جلوگیری از نفوذ دارد.

  4. پشتیبان‌گیری منظم از سایت (Backup)
    تهیه نسخه پشتیبان روزانه از سایت، امکان بازیابی سریع در صورت بروز حمله را فراهم می‌کند.

  5. پایش امنیتی دوره‌ای با ابزارهای CLI
    با استفاده از ابزار Wordfence CLI Vulnerability Scanner یا API پایگاه داده Wordfence، می‌توانید وضعیت آسیب‌پذیری‌های سایت خود را به‌صورت خودکار بررسی کنید.

 پژوهشگران برتر این هفته

از میان ۳۴ پژوهشگر فعال در این بازه، افراد زیر بیشترین تعداد آسیب‌پذیری‌ها را گزارش کردند:

  • Muhammad Yudha – DJ

  • wesley (wcraft)

  • ifoundbug

  • Foxyyy

  • Dmitrii Ignatyev

  • Legion Hunter

  • Jonas Benjamin Friedli

این افراد با گزارش‌های دقیق خود نقش مهمی در ارتقای امنیت اکوسیستم وردپرس ایفا کرده‌اند.

Post Views: 36

مرتبط پست

Mean Time to

129 بازدید

Apple Vision Pro:

115 بازدید

هشدار ساتیا نادلا:

113 بازدید

دیدگاه ها بسته هستند